L'actualité de Contao

La version 3.5.28 de Contao est disponible. Cette version corrige une vulnérabilité de type "inclusion de fichier arbitraire" dans le back office.

CVE-2017-10993

Un utilisateur connecté peut inclure des fichiers PHP arbitraires en manipulant un paramètre d'URL. Étant donné que Contao ne permet pas de télécharger des fichiers PHP via le gestionnaire de fichiers, l'attaque est limitée aux fichiers PHP existant sur le serveur.

La problème affecte Contao 3.0.0 à 3.5.27 et Contao 4.0.0 à 4.4.0.

Bien que nous ne considérions pas la vulnérabilité comme critique, nous vous recommandons vivement de mettre à jour vers Contao 3.5.28 ou Contao 4.4.1.

Voir aussi : Tickets GitHub | Vue comparative GitHub | Contao changelog | Liste des versions